Tweet
ประมานว่าระบบของผมมี proxy ip 192.168.1.1, server app ip 192.168.1.2 มีหน้าที่เป็นเว็บแอฟ แล้วช่วงไอพีของclient จะอยุ่ประมานช่วง 10-254 ครับและผมอยากให้ client เข้ามายัง server app โดยไม่ต้องผ่าน proxy อะครับ ผมต้องเขียนกฎอย่างไรบ้างครับ
-
-
แบบนี้ใช่ปะ
internet
|
192.168.1.1 ------------- 192.168.1.2
proxy server ---- lan ---- app server
|
|------- client
iptables -t nat -I PREROUTING -d 192.168.1.2 -p tcp -m multiport --dport 1:65535 -j ACCEPT
ถ้ามีการเรียกใช้ protocol tcp port 1 ถึง 65535 มีปลายทางคือ 192.168.1.2 ผ่านเครื่อง server จะทำการยอมรับโดยไม่ต้องผ่าน squid ลองดูนะครับ -
ขอบคุนครับOriginally posted by skaz- View Post
แล้วถ้าผมจะระบุport ไปเรยนี่ต้องปรับส่วนใดบ้างครับ server app ของผมทำงานผ่าน port 8080 และเวลาที่ผุ้ใช้จะserv app มันredirectไปยังหน้าlogin authen ครับ ความต้องการของผม อยากให้ clientทุกคนถ้ามีการเรียกใช้งานไปยังไอพี serv app 192.168.1.2ซึ่งผ่านport8080 ไม่อยากให้redirect ไปหน้าlogin อยากจะให้ผ่าน proxy ไปเรยอะครับComment
-
เดียวก่อนนะท่านผมงง สรุป เซอเวอท่านเป็นระบบ authen ใช้ chilli หรือว่าใช้ squid authen ครับ proxy กับส่วนของการ authen มันทำงานกันคนละส่วนนะครับ ขอตอบเป็นข้อๆ นะ
1. การปรับ port ถ้าการใช้งานเป็น web app มันจะทำงานหลาย port นะครับ ถ้าจะอธิบายมันยาว เอาง่ายๆ ระบุทุก port จาก ip ภายในของเราที่วิ่งเข้าหา 192.168.1.2 ให้บายพาสจะง่ายกว่า
2. กรณีใช้ chilli ถ้าท่านไม่อยากให้มันเด้งไปหน้า log in ต้องไปคอนฟิกใน /etc/chilli/ file อะไรผมก็จำไม่ได้จะเป็นการบายพาส ip ให้เครื่องลูกสามารถเข้าเวปหรือ ip นั้นได้เลยโดยไม่ต้อง log in ครับ ลองหาใน google ดูครับComment
-
adsl => authen+proxy (192.168.1.1) => server app(port8080) (192.168.1.2)
=> client (192.168.1.10-254)
ระบบผมครับ
ขอคำแนะนำครับผม
1. เวลาclient จะใช้งาน serv app ของผมมัน redirect ไปยัง proxy ก่อนครับ ทำอย่างไรถึงให้client ไม่ต้อง redirect to proxy อะครับ อยากให้ไปที่ serv app เรยครับ
2. จากข้อที่ 1 ถ้าทำได้ผมต้องทำที่ squid หรือ firewall อะครับ
3. จากข้อที่ 2 ถ้าconfig squid or firewall ขอขอตัวอย่างขอคำชี้แหนะหน่อยครับ
ขอบคุนครับComment
-
เอางี้ เดียวผมเขียนให้ คิดว่าคงเขียน iptables เพิ่มนิดหน่อยก้น่าจะได้ละนะ ลองเอาไฟวอลท่านส่ง pm มาให้ผมละกันComment
-
#!/bin/bash
#
$IPTABLES -A INPUT -i eth1 -s 192.168.10.0/24 -d 192.168.10.13 -p tcp --drop 8080 -j ACCEPT เพิ่มเติมครับ
# sync
$IPTABLES -A INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -j DROP > /dev/null
# Fragments
$IPTABLES -A INPUT -i $TUNTAP -f -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -f -j DROP
$IPTABLES -D INPUT -i $TUNTAP -f -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -f -j DROP > /dev/null
# block bad stuff
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL FIN,URG,PSH -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL FIN,URG,PSH -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL ALL -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP > /dev/null
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $HS_NETWORK/$HS_NETMASK -o $HS_WANIF -j MASQUERADE
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "[SSH] "
$IPTABLES -A INPUT -p tcp --dport 21:22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 143 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 993 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 995 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 123 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 3000 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport $UAMPORT -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1812:1813 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 143 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 149 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p udp --dport 137:138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# TCP MASS HOTMAIL && MSN
$IPTABLES -t mangle -A FORWARD -o $HS_WANIF -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto nimda -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto code_red -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto applejuice -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto directconnect -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto mute -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto soulseek -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto pplive -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto xunlei -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto directconnect -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto http-dap -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto http-freshdownload -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto 100bao -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto ares -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto fasttrack -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto gnucleuslan -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto goboogy -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto hotline -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto imesh -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto kugoo -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto napster -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto openft -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto thecircle -j DROP
$IPTABLES -t mangle -A PREROUTING -i $TUNTAP -p tcp -m tcp --dport 3128 --syn -j DROP
$IPTABLES -t nat -A PREROUTING -i $TUNTAP -p tcp -m tcp -d $HS_NETWORK/$HS_NETMASK --dport 80 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $TUNTAP -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# handle all p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --ipp2p -j DROP
# handle edk p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --edk -j DROP
# handle kazaa p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --kazaa -j DROP
# handle gnu p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --gnu -j DROP
# handle dc p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j DROP
# handle bit p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --bit -j DROP
# handle apple p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j DROP
# handle winmx p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j DROP
# handle soul p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j DROP
# handle ares p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j DROP
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j DROP
# Algo string
#$IPTABLES -A FORWARD -m ipp2p --ipp2p -j DROP
#$IPTABLES -A FORWARD -m layer7 --l7proto bittorrent -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "peer_id=" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string ".torrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "torrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "info_hash" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "/default.ida?" -j DROP #codered virus
$IPTABLES -A FORWARD -m string --algo bm --string ".exe?/c+dir" -j DROP #nimda virus
$IPTABLES -A FORWARD -m string --algo bm --string ".exe?/c_tftp" -j DROP #nimda virus
# bittorrent key
$IPTABLES -A FORWARD -m string --string "peer_id" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "BitTorrent" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "BitTorrent protocol" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "bittorrent-announce" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce.php?passkey=" --algo kmp --to 65535 -j DROP
# DHT keyword
$IPTABLES -A FORWARD -m string --string "info_hash" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "get_peers" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce_peers" --algo kmp --to 65535 -j DROP
# DHT INPUT
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "torrent" --algo bm -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "announce" --algo bm -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "info_hash" --algo bm -j DROP
# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP
# ----- DROP -------------
#$IPTABLES -t mangle -A $RULE -m mark ! --mark 5 -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto h323 -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto sip -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto skypetoskype -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto teamspeak -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ventrilo -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ssh -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto telnet -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto dns -j MARK --set-mark 1
$IPTABLES -t mangle -A $RULE -p icmp -j MARK --set-mark 1
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 1024:65535 -i $HS_WANIF -j MARK --set-mark 4
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 1024:65535 -i $HS_WANIF -j MARK --set-mark 4
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 3128 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 3128 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 3990 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 3990 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST SYN -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST SYN,ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST RST,ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST FIN,ACK -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto http -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto ssl -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto pop3 -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto smtp -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto ftp -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto exe -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto flash -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ogg -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto pdf -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto rar -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto tar -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto zip -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m ipp2p --ipp2p -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ares -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto gnutella -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto fasttrack -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto bittorrent -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto edonkey -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto fasttrack -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto tesla -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto nimda -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto code_red -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto applejuice -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto mute -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto soulseek -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto pplive -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto xunlei -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto http-dap -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto http-freshdownload -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto 100bao -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto gnucleuslan -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto goboogy -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto hotline -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto imesh -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto kugoo -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto napster -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto openft -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto thecircle -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto mp3 -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -p gre -j MARK --set-mark 6
# handle all p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 6
# handle edk p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --edk -j MARK --set-mark 6
# handle kazaa p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --kazaa -j MARK --set-mark 6
# handle gnu p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --gnu -j MARK --set-mark 6
# handle dc p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 6
# handle bit p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 6
# handle apple p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j MARK --set-mark 6
# handle winmx p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j MARK --set-mark 6
# handle soul p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j MARK --set-mark 6
# handle ares p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j MARK --set-mark 6
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 6
$IPTABLES -t mangle -A PREROUTING -i $HS_WANIF -j IMQ --todev 0
$IPTABLES -t mangle -A POSTROUTING -o $HS_WANIF -j IMQ --todev 1
#log
$IPTABLES -A FORWARD -p tcp -m state --state NEW -j LOG --log-prefix ipt_fwd: --log-level info
$IPTABLES -A FORWARD -p udp -m state --state NEW -j LOG --log-prefix ipt_fwd: --log-level infoComment
-
#!/bin/bash
#
# กรณีนี้ต้องทำงานร่วมกันกับ table nat , PREROUTING chain แก้ให้เป็นแบบผมแล้วลองใช้ดูครับ ใช้ได้ไม่ได้ยังไงไปลองแล้วมาบอกด้วยนะครับ
$IPTABLES -N BYPASS_SQUID
$IPTABLES -A BYPASS_SQUID -j ACCEPT
$IPTABLES -t nat -I PREROUTING -s 192.168.10.0/24 -p tcp -m multiport --dport 1:65535 -d 192.168.10.2 -j BYPASS_SQUID
# sync
$IPTABLES -A INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp ! --syn -m state --state NEW -j DROP > /dev/null
# Fragments
$IPTABLES -A INPUT -i $TUNTAP -f -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -f -j DROP
$IPTABLES -D INPUT -i $TUNTAP -f -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -f -j DROP > /dev/null
# block bad stuff
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL FIN,URG,PSH -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL FIN,URG,PSH -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL ALL -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL NONE -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j RETURN
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j RETURN > /dev/null
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags FIN,ACK FIN -j DROP > /dev/null
$IPTABLES -A INPUT -i $TUNTAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -D INPUT -i $TUNTAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP > /dev/null
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $HS_NETWORK/$HS_NETMASK -o $HS_WANIF -j MASQUERADE
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "[SSH] "
$IPTABLES -A INPUT -p tcp --dport 21:22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 143 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 993 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 995 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 123 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 3000 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport $UAMPORT -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1812:1813 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 143 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 149 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $TUNTAP -p udp --dport 137:138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
# TCP MASS HOTMAIL && MSN
$IPTABLES -t mangle -A FORWARD -o $HS_WANIF -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto nimda -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto code_red -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto applejuice -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto directconnect -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto mute -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto soulseek -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto pplive -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto xunlei -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto directconnect -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto http-dap -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto http-freshdownload -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto 100bao -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto ares -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto fasttrack -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto gnucleuslan -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto goboogy -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto hotline -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto imesh -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto kugoo -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto napster -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto openft -j DROP
#$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto thecircle -j DROP
$IPTABLES -t mangle -A PREROUTING -i $TUNTAP -p tcp -m tcp --dport 3128 --syn -j DROP
$IPTABLES -t nat -A PREROUTING -i $TUNTAP -p tcp -m tcp -d $HS_NETWORK/$HS_NETMASK --dport 80 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $TUNTAP -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# handle all p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --ipp2p -j DROP
# handle edk p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --edk -j DROP
# handle kazaa p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --kazaa -j DROP
# handle gnu p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --gnu -j DROP
# handle dc p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j DROP
# handle bit p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --bit -j DROP
# handle apple p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j DROP
# handle winmx p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j DROP
# handle soul p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j DROP
# handle ares p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j DROP
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j DROP
# Algo string
#$IPTABLES -A FORWARD -m ipp2p --ipp2p -j DROP
#$IPTABLES -A FORWARD -m layer7 --l7proto bittorrent -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "peer_id=" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string ".torrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "torrent" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "info_hash" -j DROP
$IPTABLES -A FORWARD -m string --algo bm --string "/default.ida?" -j DROP #codered virus
$IPTABLES -A FORWARD -m string --algo bm --string ".exe?/c+dir" -j DROP #nimda virus
$IPTABLES -A FORWARD -m string --algo bm --string ".exe?/c_tftp" -j DROP #nimda virus
# bittorrent key
$IPTABLES -A FORWARD -m string --string "peer_id" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "BitTorrent" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "BitTorrent protocol" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "bittorrent-announce" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce.php?passkey=" --algo kmp --to 65535 -j DROP
# DHT keyword
$IPTABLES -A FORWARD -m string --string "info_hash" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "get_peers" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce" --algo kmp --to 65535 -j DROP
$IPTABLES -A FORWARD -m string --string "announce_peers" --algo kmp --to 65535 -j DROP
# DHT INPUT
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "torrent" --algo bm -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "announce" --algo bm -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/0 -m string --string "info_hash" --algo bm -j DROP
# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP
# ----- DROP -------------
#$IPTABLES -t mangle -A $RULE -m mark ! --mark 5 -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto h323 -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto sip -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto skypetoskype -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto teamspeak -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ventrilo -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ssh -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto telnet -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto dns -j MARK --set-mark 1
$IPTABLES -t mangle -A $RULE -p icmp -j MARK --set-mark 1
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 1024:65535 -i $HS_WANIF -j MARK --set-mark 4
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 1024:65535 -i $HS_WANIF -j MARK --set-mark 4
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 3128 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 3128 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --dport 3990 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -m tcp -p tcp --sport 3990 -i $HS_WANIF -j MARK --set-mark 3
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST SYN -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST SYN,ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST RST,ACK -j MARK --set-mark 2
$IPTABLES -t mangle -A $RULE -p tcp -m tcp --tcp-flags SYN,ACK,RST FIN,ACK -j MARK --set-mark 2
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto http -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto ssl -j MARK --set-mark 1
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto pop3 -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto smtp -j MARK --set-mark 4
#$IPTABLES -t mangle -A $RULE -p tcp -m layer7 --l7proto ftp -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto exe -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto flash -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ogg -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto pdf -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto rar -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto tar -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto zip -j MARK --set-mark 5
#$IPTABLES -t mangle -A $RULE -m ipp2p --ipp2p -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto ares -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto gnutella -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto fasttrack -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto bittorrent -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto edonkey -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto fasttrack -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto tesla -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto nimda -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto code_red -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto applejuice -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto mute -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto soulseek -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto pplive -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto xunlei -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto directconnect -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto http-dap -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto http-freshdownload -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto 100bao -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto gnucleuslan -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto goboogy -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto hotline -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto imesh -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto kugoo -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto napster -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto openft -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto thecircle -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -m layer7 --l7proto mp3 -j MARK --set-mark 6
#$IPTABLES -t mangle -A $RULE -p gre -j MARK --set-mark 6
# handle all p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 6
# handle edk p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --edk -j MARK --set-mark 6
# handle kazaa p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --kazaa -j MARK --set-mark 6
# handle gnu p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --gnu -j MARK --set-mark 6
# handle dc p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 6
# handle bit p2p traffic
#$IPTABLES -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 6
# handle apple p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j MARK --set-mark 6
# handle winmx p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j MARK --set-mark 6
# handle soul p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j MARK --set-mark 6
# handle ares p2p traffic
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j MARK --set-mark 6
#$IPTABLES -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 6
#$IPTABLES -t mangle -A PREROUTING -i $HS_WANIF -j IMQ --todev 0 # ท่านไม่ได้ใช้ imq ปิดตรงนี้ก้ได้ครับ
#$IPTABLES -t mangle -A POSTROUTING -o $HS_WANIF -j IMQ --todev 1 #
#log
$IPTABLES -A FORWARD -p tcp -m state --state NEW -j LOG --log-prefix ipt_fwd: --log-level info
$IPTABLES -A FORWARD -p udp -m state --state NEW -j LOG --log-prefix ipt_fwd: --log-level infoLast edited by skaz-; 13 May 2013, 17:22:56.Comment
-
เข้ามาดูด้วยความ งงComment
-
เทพคุยกัน
Comment
-
-
ท่าน skaz- ผมทำได้ละครับแต่วิธีผมนะ แต่ผมจำไม่ได้ว่าทำไรไปมั่ง
แต่ผมลองวิธีท่านละได้คือกันครับผม
ขอบคุณมากครับผมComment
Comment